2026年3月4日,加密货币领域发生一起震惊业界的安全事件:名为‘Sillytuna’的钱包遭受地址欺骗攻击,损失高达2400万美元的aEthUSDC。此次事件由区块链安全机构PeckShield深度追踪并公开分析,再次将行业目光聚焦于去中心化金融(DeFi)中隐蔽却高危的攻击手段——地址欺骗。
地址欺骗是一种利用用户操作习惯的社交工程攻击。攻击者通过在交易记录中植入外观高度相似的虚假地址,诱导受害者误将资金转入其控制的账户。在本次事件中,受害者在使用Aave平台进行操作时,不慎复制了攻击者预埋的伪造地址,导致全部资产被转移,相关交易记录在以太坊区块24,585,515处可查。
被盗资金迅速被拆分至两个钱包,每个钱包各接收约1000万美元的DAI,总计约2000万美元。为增加追踪难度,部分资金被跨链转移至Arbitrum网络,使得资产回收路径更加复杂。另有约400万美元仍滞留在原始钱包中,用途尚不明确,可能用于支付交易费用或为后续分流转移做准备。目前,PeckShield持续监控这些地址,尚未发现大规模混币或提现行为,资金仍处于高度预警状态。
与传统通过私钥泄露或智能合约漏洞实施的黑客攻击不同,地址欺骗不依赖技术突破,而是利用用户的疏忽和默认操作习惯,实现“零技术门槛”的精准收割。这种攻击方式隐蔽性强、成功率高,已成为DeFi生态中最值得警惕的非技术性风险之一。
尽管受害方身份尚未公开,资金追回的可能性也尚不明确,但主流安全机构已加速推出防护工具与用户教育计划,包括地址验证插件、交易前二次确认提示等功能。值得注意的是,尽管此次事件损失巨大,但PeckShield数据显示,2025年12月全行业加密资产损失已从11月的1.942亿美元降至7600万美元,表明整体安全态势有所改善,但新型攻击手法仍在不断演化。
该事件再次提醒所有用户:在任何链上操作前,务必手动核对收款地址,避免依赖剪贴板自动填充。即使是一笔微小的疏漏,也可能带来无法挽回的财务损失。提升安全意识,已成为参与DeFi的必备素养。